近期热播的《芈月传》讲述的是中国历史上第一位太后的成长历程—这就是历史上的秦国宣太后。但是史书上并没有记载这位太后的名字,只是说她姓芈。那“芈月”这个名字就是编剧随便起的喽?并不是。芈月这个名字来自秦兵马俑身上的一处刻字。但是兵马俑不是秦始皇的陪葬吗?为什么上面会刻着他高祖母的名字?信息收集理由如下:
1、兵马俑中出土了一件吕不韦造的青铜戈,但是出土位置比兵马俑土坑高几十厘米,根据墓穴中灰尘累计速度来看相当于累积了50年的尘土,往前推50年正好是秦宣太后建造陪葬墓的年代。
2、兵马俑的发髻都是歪在头的右边,为楚国人的习惯。
3、兵马俑身上刻字有:“芈月”二字,秦国姓芈并且有资格享有兵马俑的,只有宣太后了。
如上述这些看似不相干却又环环相扣的资料史实得出了得出了秦兵马俑是秦宣太后的,而秦宣太后的名字是“芈月”的结论。当然,上述理由只是推测,兵马俑的主人属于秦始皇的说法还是主流意见。
我们这些看客,除了看看热闹,也可以了解下APT(高级持续性威胁Advanced Persistent Threat)攻击的信息收集,猜测下看似和攻击无关联的个人和企业的信息收集,对完成黑客的APT攻击有哪些帮助?其实信息收集是贯穿在APT攻击的整个攻击链中,在本文里讨论在APT攻击前期的对个人信息收集方式、作用以及防御措施。
用户个人信息收集---提高恶意邮件成功率
在APT攻击中,恶意软件或者链接不会像普通攻击模式采用遍地撒网的模式,而是会采用精确的钓鱼模式,因此对选定用户的了解是APT攻击的前奏。由于社交媒体的发展,不论是从公开的渠道或者通过某些地下渠道,对个人信息的收集在现代社会是相当方便,例如通过Facebook,可以搜索姓名、出生日期及人际网络;而Twitter很容易获取用户的兴趣和追随者;Linkedin上很容易获得个人的工作履历和教育背景等等,通过多种渠道信息收集,很容易勾画出这些用户的完善的信息。不管怎么说,这比从距今2200多年的兵马俑身上找线索要更加方便和易于获取。
这些个人信息的获取,是为了钓鱼邮件的主题和内容更贴近用户的喜好,提高恶意邮件的成功率。
用户终端信息收集---精确攻击的前提
为了使得入侵渗透更加隐蔽,在APT攻击中,采用的恶意软件经常采用定制的模式,而这个定制的前提是要对选择的用户终端信息要了如指掌。通过采用钓鱼收集信息的方式也大行其道,攻击者通发送一个正常并且内容和对方爱好一致的网页链接,用户打开后看到的也是一个正常的和自己爱好一致的网页,但是
1、 利用URL参数,攻击者可以标记关联的人,利用浏览器本身支持的功能可以收集用户使用的操作系统、浏览器和版本的信息,甚至还可以利用创建对象和路径加载探测技术,准确判定跳板安装的各种应用环境,特别是安全防护软件和本地应用。
2、 在攻击过程中,攻击者同样会采用多种手段收集目标企业的IT信息,包括使用的软件类型、网络架构、IP地址、web服务器信息、虚拟机信息以及硬件类型等等。
用户终端信息的收集,是可以用来指导攻击者开发精确攻击和绕开常规检测的恶意软件。
如何防御信息收集---人的安全意识最重要!
在APT攻击中, 很难防护黑客组织对信息的收集,一方面是由于这个过程基本是悄无声息,另一方面是这些信息不受控制,用户不仅随时随地的把个人相关信息发布在社交媒体上,甚至还将公司的一些敏感信息发布在公开的媒体上,这使得信息收集过程快速而有效。这也体现了在安全领域,其实最重要的安全要素是“人”,只有人的整体安全意识得到提高,对攻击的防御才会更有效,黑客的攻击成本才会大幅度的提高。可见周期性的加强对员工安全意识培训,提高用户安全意识是防御任何攻击的第一道防线,在对抗APT攻击中,人的安全意识尤为重要。
在用户提高网络信息安全意识的同时,华为CIS大数据安全威胁检测系统,能实现秒级智能检测异常行为,从而实现精确预警,有效的缩小了检测与响应的时间窗,能显著的降低攻击损失,有效发现APT攻击的感染路径和感染设备,最终通过终端探针,实现快速清除风险,一键自动隔离和修复感染终端。
防御不能100%完美,APT攻击也不可能100%完美伪装,CIS也是要在海量的信息中找到APT攻击的短板,进而挖掘整个攻击链的信息,从而有效的实现对APT攻击进行检测。华为CIS大数据安全威胁检测系统,能在收集存储全网流量的元数据的基础上,以威胁情报为辅助,对实时的和历史的数据进行分析,这种检测模式,不侧重依赖于APT攻击链中任何一个环节,但是只要APT攻击在任何一个环节有纰漏,都能保证有效的被检测。在检测到APT攻击后,通过安全专家的参入,能生成有效的威胁情报,通过共享机制,将威胁情报共享给全网的安全设备,实现动态防御,提高安全管理效率,增强APT防御能力。